2011年12月13日火曜日
危ないよ!巷で流行りの「Privacy Protection」
普段、ウィルス感染→駆除の依頼が来ても、ン年前に流行ったようなオールドビンテージのウィルスばかりなので記事にする事はありませんでしたが、珍しくヌーボーが手に入ったので記事にしてみます(笑)
一般の方のサイト(エッチなやつじゃなくてごく普通のサイト)など、どなたでもアクセスするようなサイトに仕掛けられている攻撃コード。
今回の検体も、ごく真面目なサイトを閲覧していた際の出来事だったそうです。
これを仕込まれたサイトにアクセスして、閲覧していると、しばらくしてこんな画面が表示されます。(何かをダウンロードするでもなく、クリックするでもなく、ただボーっと見ていても発生)
はい、嘘くさ~いセキュリティソフトもどきの図。
で、これまた嘘くさ~いウィルスチェックが走ります。
一通りなんちゃってチェックが終わると、今度はこんな画面に。
ポップアップで表示されているFIREWALL WARNINGの画面が表示される時は、
どぅおぉーーーーーーーーーーっ
っとPCさんが叫びます。
なかなか芸が細かくていらっしゃる(笑)
で、ここから先、すべてのexeが実行できなくなります。
コマンドも使用できません。
ということで、一旦シャットダウン!
セーフモードとネットワークで起動します。
この攻撃コードはセーフモードでは走りません。
試しにAdministratorや別のユーザーでログインしてみましたが走りませんでした。
感染した時点のユーザーアカウント上で動くようです。
セーフモードでPCを起動するには、電源ボタンを押したらF8キーを連打するとこういう画面が表示されます。
ここでセーフモードとネットワークを選んでenterキーを押す。
起動したら、[スタートボタン]-[ファイル名を指定して実行]でmsconfigと入力しOKボタンをクリック。
出て来た画面の「スタートアップ」のタブでprivacy.exeを探し、チェックを外してOKで閉じます。
何らかのトラブルで上記対応が出来ない場合、とりあえず「偽ソフトを買ってみるフリをする」という手段でprivacy.exeの動きを止めるという手もあります。
通常起動して関連ファイル、レジストリを削除。
%CommonAppData%\privacy.exe
%Desktop%\Privacy Protection.lnk
HKEY_CURRENT_USER\Software\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Privacy Protection"
が、個人的にはオススメしません。
privacy.exeと関連レジストリを削除するだけでは完全とは言えませんし、アンインストールしただけではレジストリにエントリが残っていない補償はありませんから。
推奨方法は、privacy.exeの動きを止めてデータのバックアップを取ったら、自責の念を持ちつつリカバリし、すべての個人情報を完全変更するという方法。
そもそも、JavaやAdobeソフト、WindowsのUpdateを常に実行していれば、こんな事にはならないわけですから。
にほんブログ村
0 コメント♪:
コメントを投稿